En los últimos meses se ha observado un movimiento inquietante en el mapa del ciberespionaje: un actor conocido como UnsolicitedBooker ha desplazado su foco y ahora dirige operaciones contra proveedores de telecomunicaciones en Kirguistán y Tayikistán, tras una etapa previa en la que sus actividades se centraron en entidades saudíes. El informe de la firma rusa Positive Technologies ofrece una radiografía detallada de estas intrusiones y describe el empleo de dos puertas traseras escritas en C++ que reciben el nombre de LuciDoor y MarsSnake, además de los cargadores que las entregan en los sistemas comprometidos (informe de Positive Technologies).
La cadena de ataque empleada por el grupo es clásica pero efectiva: los atacantes envían correos de phishing que incluyen un documento de Microsoft Office como señuelo. Al abrirlo, la víctima recibe la habitual petición de activar las macros —ese botón de “Enable Content” que tantos problemas causa— y, una vez activadas, el macro deja caer un pequeño cargador en C++ (LuciLoad o MarsSnakeLoader) que a su vez instala la puerta trasera correspondiente.
Desde un punto de vista técnico, ambas puertas traseras realizan funciones habituales en campañas de espionaje: recaban metadatos del sistema, establecen comunicación con un servidor de mando y control (C2), exfiltran información de forma cifrada y aceptan instrucciones remotas para ejecutar comandos, escribir o extraer archivos. Aunque sus capacidades son similares, los analistas destacan cambios tácticos en el tiempo: el actor comenzó usando LuciDoor, pasó a MarsSnake y, ya en 2026, regresó al primer implante, lo que sugiere adaptaciones operativas y pruebas de eficacia.
Hay otros detalles relevantes en la investigación. En algunos incidentes MarsSnake se desplegó sin necesidad de un cargador intermedio: el punto de inicio fue un acceso directo de Windows (*.doc.lnk) que simulaba un documento de Word, ejecutaba un script por lotes que invocaba un Visual Basic Script y así lanzaba la puerta trasera. Positive Technologies vincula esa técnica con una herramienta pública de pentesting llamada FTPlnk_phishing, debido a coincidencias en marcadores forenses como la hora de creación del LNK y el identificador de máquina.
Los investigadores también señalan una curiosa mezcla de orígenes de las herramientas: muchas parecen tener raíces o inspiración en desarrollos chinos, algo poco frecuente en las campañas a las que se han enfrentado las víctimas. Además, en al menos un caso los atacantes utilizaron un router comprometido como servidor C2 y, según el reporte, parte de su infraestructura imitó características de redes rusas, una táctica destinada a despistar posibles investigaciones sobre el origen real del ataque.
Este actor no aparece de la nada: ESET ya había documentado en 2025 a UnsolicitedBooker cuando detectó una operación que afectó a una organización internacional en Arabia Saudí empleando MarsSnake. El historial del grupo, con actividad atribuida desde marzo de 2023, muestra una orientación geográfica amplia que incluye Asia, África y Oriente Medio, y trazas operativas que se solapan con otros clústeres de amenazas, como Space Pirates y campañas atribuidas a otros backdoors como Zardoor.
El fenómeno no se limita a este actor. Paralelamente, la comunidad de seguridad ha documentado tácticas de suplantación y mimetismo entre grupos: emergió una entidad bautizada por investigadores rusos como PseudoSticky, que parece imitar a un colectivo pro‑ucraniano llamado Sticky Werewolf y ha dirigido ataques contra organizaciones rusas usando troyanos como RemcosRAT y DarkTrack RAT. Los analistas de F6 creen que la similitud es deliberada y que, a pesar de la apariencia, existen diferencias claras en infraestructura y metodología que indican ausencia de vínculo directo entre los clusters.
Otro actor, identificado como Cloud Atlas, ha aprovechado plantillas remotas en documentos Word para explotar vulnerabilidades conocidas —un modus operandi que recuerda a campañas anteriores— y distribuir malware como VBShower y VBCloud. La compañía Solar describe cómo los documentos maliciosos cargan plantillas remotas desde un C2 y explotan vulnerabilidades como CVE-2018-0802 para iniciar la cadena de compromiso (análisis de Solar).
Lo que destaca en este conjunto de incidentes es la persistencia del vector inicial: la combinación de ingeniería social con artefactos ofimáticos sigue funcionando porque los usuarios siguen habilitando macros o abriendo enlaces y ficheros sin comprobar su origen. Además, el uso de cargadores en C++ y variantes que evitan la fase intermedia demuestran que los atacantes buscan flexibilidad para sortear defensas tradicionales basadas en firmas.
Para organizaciones, y en particular para proveedores de telecomunicaciones que manejan infraestructura crítica y grandes volúmenes de datos, las lecciones prácticas son claras. Es imprescindible endurecer las políticas de manejo de documentos entrantes, desactivar las macros por defecto y educar a los equipos sobre señuelos específicos (por ejemplo, tarifas o contratos falsos dirigidos a personal de facturación). La segmentación de redes, el empleo de detección de anomalías en el tráfico saliente y el monitoreo de logs en dispositivos de borde, como routers, ayudan a detectar servidores C2 que usan equipos comprometidos.
También conviene que los equipos de respuesta a incidentes mantengan rutinas de análisis de artefactos: comparar metadatos (fechas de creación de ficheros LNK, Machine IDs), identificar cargadores persistentes y verificar si se usan plantillas remotas en documentos Office. Los informes públicos de empresas de seguridad siguen siendo una guía valiosa para reconocer indicadores de compromiso y tácticas emergentes; además del análisis de Positive Technologies, vale la pena consultar material de referencia general sobre amenazas y prácticas de mitigación en recursos como el portal de investigación de ESET (WeLiveSecurity) y análisis históricos sobre campañas con LNKs como el publicado por Darktrace.
En un panorama de amenazas donde los actores cambian tácticas y se copian entre sí, la combinación de buenas prácticas tecnológicas, concienciación continua y acceso a inteligencia de código abierto es la mejor defensa para frenar invasiones que, como las protagonizadas por UnsolicitedBooker, buscan aprovechar una ventana humana para dar rienda suelta a implantes sofisticados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...